信息安全管理标准 什么是ISO 27001认证 山东济南

一. 背景介绍　　

    目前，在信息安全管理体系方面，ISO27001（原BS7799标准）已经成为世界上应用最广泛与典型的信息安全管理标准。该标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了ISO的认可，正式成为国际标准―― ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准――ISO27001，同时BS7799-2:1999被废止。2006年5月，BS7799-3：2006《信息安全风险管理指南》出版。

    针对ISO27001标准的受认可的认证，是对组织信息安全管理体系（ISMS）符合BS7799-2 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了信息安全管理体系，并且符合BS7799-2 标准的要求。通过认证的组织，将会被注册登记，并且与认证委员会、DTI 以及ISMS IUG 的国际网络相联系。

    二．发展现状和适用范围

    目前，已有20多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001。并有41 个国家和地区开展了此项业务， 我国的台湾和香港地区也已经采用并推广了BS7799 标准。在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。在中国大陆， BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而相关的ISMS 认证工作正在试点运行。

    BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、台湾。证书的行业分布主要在政府、金融、通信、电子、物流等行业。

    信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等的企业。